Grâce à sa position dominante sur le marché, Google le leader du secteur bénéficie d’un effet positif procuré par la mise en application du RGPD. Cet effet positif est principalement du à une concentration accrue sur le marché de la publicité en ligne. Bien que le nombre de trackers diminue dans l’ensemble, quelques grands opérateurs, tels que Google, reçoivent, suite à cette mise en place, encore plus de données utilisateur.

Le règlement général sur la protection des données (GPRD), qui vise principalement à protéger les données à caractère personnel au sein de l’UE, est en vigueur depuis un peu plus de quatre mois maintenant.

Qu’est-ce qui a changé depuis le 25 mai? Quel impact le GPRD a-t-il eu sur le paysage des trackers et le marché de la publicité en ligne en Europe?

Une étude de Cliqz et Ghostery répond à ces questions. À l’ aide des données de WhoTracks.me , il compare la prévalence des traqueurs un mois avant et un mois après l’introduction du GPRD.

WhoTracks.me est une initiative conjointe de Cliqz et Ghostery. Il fournit des informations structurées sur les technologies de suivi, la structure du marché et le partage de données sur le Web et crée ainsi plus de transparence. Sur le site Web de WhoTracks.me, les parties intéressées trouveront des statistiques mensuelles de suivi visualisées. Ils reposent sur l’évaluation de près de 300 millions de pages et de plus d’un demi-million de sites Web.

Selon cette étude les petits annonceurs perdent – Google gagne !

La plupart des trackers collectent des données à des fins publicitaires. Ils veulent en savoir le plus possible sur un utilisateur afin d’afficher des annonces personnalisées. Plus les annonces sont ciblées sur les intérêts de l’utilisateur, plus elles ont du succès et plus elles génèrent de l’argent. Le marché mondial de la publicité en ligne représente un volume estimé à 270 milliards de dollars en 2018 et devrait croître de plus de 20% au cours des deux prochaines années. Avant l’introduction du GPRD, le secteur de la publicité s’inquiétait également de l’impact que ce GPRD pourrait avoir sur le marché de la publicité et la concurrence.

Une comparaison de la prévalence des suiveurs entre avril et juillet révèle une image claire: des opérateurs de publicité particulièrement petits ont considérablement perdu de leur portée (ce qui peut être utilisé comme indicateur indirect de la part de marché).

Ils ont perdu entre 18% et 31%. Facebook a subi une baisse d’un peu moins de 7%. En revanche, le leader du marché Google a même pu augmenter légèrement sa portée (plus 1%).

 

Comment est-ce possible ?

Il y a plusieurs explications possibles à cela:

  • Google et d’autres grandes entreprises de technologies publicitaires disposent d’importantes ressources consacrées à la conformité
  • Les rapports indiquent que Google aurait peut-être utilisé sa position dominante pour inciter les éditeurs à réduire le nombre de trackers sur leurs sites et donc le nombre de fournisseurs de technologies publicitaires.
  • Pour ne pas risquer de pénalités, les propriétaires de sites Web préfèrent jouer prudemment et laisser tomber les petits annonceurs qui pourraient avoir plus de difficulté à prouver leur conformité.

Une chose est sûre: Google profite indirectement des effets du GPRD, qui a entraîné une concentration accrue du marché de la publicité en ligne en Europe, la majorité des annonceurs perdant des parts de marché. Google semble avoir tiré parti de l’incertitude entourant leGPRD pour renforcer sa position de leader sur le marché. Par ailleurs, de nombreux petits concurrents perdent progressivement leur part de marché depuis son entrée en vigueur.

Depuis le 25 mai dernier, date d’entrée en application du Règlement général sur la protection des données personnelles, l’Europe s’est dotée d’un tout nouveau cadre au sein de ses États membres.

Questionnée par NextInpact, la Cnil avance le chiffre de 2770 plaintes enregistrées depuis l’entrée en vigueur du règlement, soit environ 1000 de plus par rapport à la même période de l’année précédente.

Pour la commission, cette évolution « témoigne du fait que les citoyens se sont fortement saisis du RGPD ». Parmi les pistes d’explications, vient en tête le « coup de projecteur médiatique sur la protection des données », avec le règlement, mais également avec l’affaire Cambridge Analytica, notamment.

Qu’est-ce que le RGPD ?

Le Règlement Général pour la Protection des Données est une réglementation européenne. Votée au Parlement Européen en 2016, sa mise en application est mondiale, et l’organisme en charge de son respect en France est la CNIL, la Commission Nationale de l’Informatique et des Libertés.

Le but de cette réglementation, qui remet en question les pratiques des professionnels du web est d’assurer à tout individu le contrôle et la protection de ses données à caractère personnel qu’il fournit à chaque fois qu’il visite des sites sur le web.

Qu’est-ce qu’une donnée à caractère personnel ?

Est considérée comme une donnée à caractère personnel toute donnée qui permet d’identifier directement ou indirectement un individu :

On peut identifier un individu grâce à son nom, son prénom, son adresse email, son numéro de téléphone, et tout type de donnée démographique que ces données aient été récolté sur le web ou directement au sein de l’entreprise.

On peut aussi l’identifier sur le web grâce à des informations purement numériques : adresse IP, Navigateur, OS, Visites ou Clics…

Que prévoit la loi ?

3 axes importants se détachent :

  • L’amélioration du consentement de l’utilisateur lorsqu’un site web récolte ses données à caractère personnel.
  • La traçabilité et la haute sécurité des données des utilisateurs. Renforcement de la loi en matière de failles de sécurité de la data, et responsabilisation de l’entreprise qui les récolte responsable de leur bon stockage et de leur protection.
  • Le droit de l’internaute à rectifier, modifier, supprimer ou recueillir ses données à caractère personnel, et ce à tout moment.

Qui est concerné ?

Le RGPD concerne toute personne, physique ou morale, qui serait amenée à toucher de près ou de loin à des données à caractère personnel de citoyens de l’Union Européenne dans le cadre de son activité professionnelle.

Si vous collectez, utilisez ou stockez ce type de données vous êtes dans la cible de cette législation et ce, quels que soit le secteur d’activité ou la taille de votre structure.

Autre point très important : même si votre entreprise ou vous-même êtes basés, ou que vous stockez vos données, en-dehors de l’Union Européenne, le RGPD s’applique à votre activité.

La législation se place en effet du point de vue de l’internaute : si vous traitez des données d’un individu résidant dans l’un des 28 membres de l’UE, vous êtes concerné.

Quelles sanctions risque-t-on ?

Le RGPD vient renforcer le système de sanctions déjà mis en place. Les amendes administratives détaillées dans la législation sont beaucoup plus importante. Elles pourront atteindre jusqu’à 4 % du chiffre d’affaire, et jusqu’à 20 millions d’euros pour les infractions les plus graves.

Que devez-vous changer sur votre site ?

1.  Mettre à jour ses conditions générales de vente (CGV), d’utilisation (CGU) et sa politique de confidentialité

1.1 Une politique de confidentialité claire

Votre page de politique de confidentialité, généralement située dans votre pied de page, doit désormais expliquer concrètement ce que vous faites avec ces données. 

Voici les sections qui doivent figurer dans votre politique de confidentialité :

  • Quelles informations « MON ENTREPRISE » collecte-t-elle ?
  • Comment « MON ENTREPRISE » utilise-t-elle mes informations ?
  • Comment « MON ENTREPRISE » partage-t-elle mes informations ?
  • Comment « MON ENTREPRISE » répond-elle aux demandes légales concernant mes informations ?
  • Comment puis-je gérer mes informations stockées dans « MON ENTREPRISE »?
  • Que se passe-t-il si « MON ENTREPRISE » ferme mon compte ?
  • Où « MON ENTREPRISE » stocke-t-elle mes informations ?
  • Quelle est la société responsable du traitement de mes données ?
  • Comment puis-je contacter « MON ENTREPRISE »?
  • Utilisation des Cookies : Quels sont les cookies et technologies similaires utilisés par « MON ENTREPRISE »?

1.2 Des CGV et CGU en accord avec le RGPD

La page de Conditions Générales d’Utilisation de votre site va devoir également être changé face au RGPD. Il est recommandé d’y ajouter dès maintenant votre politique de confidentialité, avec toutes les directives RGPD que vous y avez incluses.

Mettre en place ces éléments sur votre site, c’est avant tout installer une atmosphère de confiance.

2. Bandeau d’information et recueil du consentement 

Ce mécanisme permettant le recueil du consentement de l’utilisateur peut prendre à minima la forme d’une bannière, détaillant de manière claire et facilement compréhensible les données personnelles recueillies, les traitements et les durées de rétention associés. Il est important de prévoir la mise en place d’un bouton « accepter » pour recueillir le consentement explicite de l’utilisateur avant d’activer les cookies, ainsi que d’un bouton « choisir les cookies » pour apporter des détails sur chaque type de donnée collectée et ses finalités et donner ainsi la possibilité d’accepter unitairement les différents recueils de données.

3. Revoir tous les formulaires de son site

Les parties qui vont sans doute être le plus impacté par le RGPD sur votre site web sont sans doute les formulaires. Il s’agit en effet d’un point de contact-clé entre vous et vos visiteurs, et c’est dans ce contexte précis qu’ils partagent avec vous leurs données.

Il est courant d’avoir recours à des formulaires, notamment pour proposer l’inscription à une newsletter. Or, à ce point de contact, vos utilisateurs vous partagent des données personnelles : en général email, prénom et nom

  • Rajouter une case à cocher indiquant que l’utilisateur consent à partager ses données (“J’autorise l’entreprise X à enregistrer mes données”)
  • Spécifier la raison de la récolte des données ( exemple : Saisissez votre adresse email pour recevoir notre newsletter”)
  • Proposer aux utilisateurs de se désinscrire ou d’accéder à leurs données aisément et à tout moment

Voici un bien / pas bien de la future apparence de vos formulaires (si vous avez une newsletter qui peut proposer des offres commerciales) :

Notez également que vous ne pouvez plus demander à un client de vous laisser des données qui n’ont aucun rapport avec ce pour quoi ils s’inscrivent. Si vous leur demandez par exemple de s’inscrire à une newsletter, inutile de leur demander leur sexe ou encore leur âge. La fête est finie 🙂

4. Mettre en place un processus de sécurité des données

Il est maintenant de la responsabilité de celui qui détient des données de les protéger.

4.1 Créer un processus d’effacement ou de modification des données

Avec le RGPD, chaque type de données a désormais une durée légale de conservation spécifique. Vous n’avez plus le droit de garder indéfiniment une donnée client ou utilisateur sans l’utiliser.

Il va donc vous falloir mettre en place une procédure simple qui permette à vos utilisateurs de :

  • Retirer leur consentement
  • Accéder à leurs données
  • Les modifier
  • Demander à les effacer
  • Demander à les transférer vers un tiers (on appelle cela le “droit à la portabilité”)

Il faudra faire de même sur vos newsletters, mais aussi dans vos bandeaux de signalement de cookies, ou encore à vos bannières publicitaires si vous en avez…

Créer une boîte email spécifique, type :

privacy@votresite.com

qui vous permettra de recevoir toutes les demandes d’exercice du droit des personnes.

Puis, à réception de chaque demande :

  • De retrait de consentement, il vous faudra supprimer ou modifier les données personnelles de l’internaute au plus vite et sur l’ensemble de vos lieux de stockage (y compris dans les fichiers de sauvegarde de votre site WordPress).
  • De portabilité des données, vous devrez exporter toutes les données que vous possédez dans un format lisible par une machine, afin que la personne puisse transmettre ses données à une autre entité sans avoir à les ressaisir.

La fête est finie 🙂

 

4.2 Se préparer à une éventuelle faille de sécurité

Il vous faudra également vous assurer que vous garantissez efficacement la sécurité des données à caractère personnel de vos internautes.

Voici quelques éléments qu’il vous faudra donc prendre en compte :

  • Il est nécessaire de mettre en place des mesures et techniques adéquates pour garantir un haut niveau de sécurité des données de vos utilisateurs. Chiffrement de la data, pseudonymisation, cryptage… Vos process internes doivent être clairs à ce sujet.
  • Il vous faudra informer la CNIL dans les 72 heures en cas de faille de sécurité. Dans certains cas, il vous faudra même informer l’utilisateur concerné, notamment si la faille est susceptible d’engendrer un risque élevé pour ses droits et libertés.

5. Instaurer un registre interne de traitement des données

Avant le RGPD, toute entreprise traitant des données utilisateurs à caractère personnel devait le signaler par le biais d’un système de déclaration ou d’autorisation. Depuis le 25 mai, cette procédure n’est plus nécessaire, et est remplacée par une autre obligation : celle de tenir un registre de traitement des données.

Votre registre devra répondre à trois questions-phares au sujet de votre traitement des données :

  • QUI ? Quelles sont les personnes en interne sont amenées à traiter des données et le cas échéant, vos sous-traitants.
  • QUOI ? Cartographier les traitements de données personnelles réalisées par votre structure (type de données collectées, finalités des traitements, preuve des consentements recueillis, informations portées à la connaissance des personnes concernées, etc.) ;
  • COMMENT ? Comment ces données sont traitées (transfert à l’étranger ou non, hébergement ou non, archivage ou suppression de données, etc.)

Ce registre doit être perpétuellement tenu à jour.

Ce registre devra être tenu par le DPO. Véritable chef d’orchestre des données personnelles, le DPO aura vocation à remplacer l’actuel Correspondant Informatique et Libertés (CIL), et aura pour mission, notamment de contrôler le respect du RGPD par l’entité et de coopérer avec la CNIL. Il peut s’agir d’une personne en interne ou en externe (avocats, consultants…).